建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
6 U! x5 p% S5 B! D$ J
/ `- \9 I3 w% E" _7 L! y7 G$ W( d缺陷编号： WooYun-2012-15569

漏洞标题： 中国建设银行刷人民币漏洞

相关厂商： 建设银行

$ X- Y2 y# c- V' {$ [漏洞作者： only_guest
  ^; M2 Y: B7 K' y
提交时间： 2012-12-03
, z4 }* j; D9 ?
2 ?& K* P3 Y4 k5 p漏洞类型： 设计缺陷/逻辑错误

危害等级： 高

  o* ^2 g5 G# D; h漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org
# |* c' v# b' V0 n/ L4 b
Tags标签： 无
0 ^4 o. m; N2 {' w- l6 l" E/ J
- m# G. A' \8 l+ q) a! A6 X1 O, \

2 h  Z, U, M; e20人收藏收藏
分享漏洞：
7 x8 t% N4 i+ H' k; u35

" U9 m1 [# g* w+ }4 Z--------------------------------------------------------------------------------

漏洞详情

披露状态：
2 E( s/ r9 @# n; ^1 U/ D6 S8 m


7 L2 }  W, X; g2 L) l% }2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开


7 V7 p2 y* E# }& r7 Q简要描述：
4 j- P! N8 T8 g1 c/ _! E" X3 k. q5 }
; y, k4 q6 }4 b# r, c偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
2 _3 M' v2 a. J* E- _7 l! u 测试用的.你们收回去就是了.我是良民.

漏洞hash：47b3d87350e20095c8f314b7b6405711
4 Y( g4 O+ I9 g/ w$ i
版权声明：转载请注明来源 only_guest@乌云
, G7 C6 l1 y( }
--------------------------------------------------------------------------------
+ b( M7 u1 [& M& G7 j( P
% P* R0 z& n0 v. q# s* N漏洞回应

厂商回应：

( Q4 k! v% i- y3 E危害等级：高

& b6 I0 }# |1 ?: A+ o0 r" @6 J  {6 @漏洞Rank：12
6 q! I! c- ?/ G, N" P7 k% u
3 U7 W' r' e+ f/ l确认时间：2012-12-04
0 h  d6 s; c. F
厂商回复：
" M+ O- K0 ^! `8 z* Y% N- b7 q
CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。

同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。
' R* S, ]6 G0 q
按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00
0 [( D7 J- V5 L& {/ u